L’API du DogeCoin utilisé par les pirates pour du cryptojacking

Selon un récent rapport publié par la société de cybersécurité Intezer Labs, l’API Dogecoin a été utilisée abusivement par des pirates pour installer une porte dérobée non détectée appelée “Doki” sur les serveurs Docker qui fonctionnent sous Linux.

Comme pour les autres chevaux de Troie à porte dérobée, l’objectif principal était d’obtenir un contrôle total afin de mener à bien des opérations de cryptojacking.

Methode

Le cryptojacking (également appelé minage de cryptomonnaie malveillant) est une menace en ligne émergente qui se cache sur un ordinateur ou un appareil mobile et utilise les ressources de la machine pour « miner » des cryptomonnaies

Cette fois, les pirates se sont appuyés sur l’API de dogechain.info, l’explorateur de blocs DOGE le plus populaire, afin de créer son domaine C2.

Il est capable de trouver ces domaines automatiquement en s’appuyant sur un algorithme DGA “unique” qui est basé sur Dogecoin :

Grâce à cette technique, le pirate contrôle l’adresse avec laquelle le logiciel malveillant entrera en contact en transférant une quantité spécifique de Dogecoin de son portefeuille. Comme seul le pirate a le contrôle du portefeuille, lui seul peut contrôler quand et combien de Dogecoin transférer, et donc changer de domaine en conséquence.

Doki est opérationnel depuis plus de six mois, et le meilleur logiciel antivirus est toujours incapable de le détecter :

Le logiciel malveillant est une porte dérobée qui n’est pas du tout détectée. Il a réussi à rester non détecté pendant plus de six mois, bien qu’il ait été téléchargé sur VirusTotal le 14 janvier 2020 et scanné plusieurs fois depuis.

Récemment, les serveurs Doki sont devenus une cible populaire pour les cybercriminels, mais c’est la première fois que Dogecoin est impliqué.

Segla Antoine Shadrac
Me suivre